其实从从来没有用过这个
因为不知道听谁说过这玩意，很危危险

iptables

iptables 是用户态的 而netfilter是内核态的
iptables是netfilter的一个前端???

使用

Netfilter给ipv4定义了5个hook点

• PRE_ROUTING
• LOCAL_IN
• FORWARD
• LOCAL_OUT
• POST_ROUTING

各个hook点的位置

                          ---------
Data => [*]PRE_ROUTING => |ROUTING| => [*]LOCAL_IN => [*]LOCAL_OUT => [*]POST_ROUTING
                          |ROUTING| => [*]FORWARD  => [*]POST_ROUTING
                          ---------

数据包过来，先过PRE_ROUTING,然后过一个路由,决定数据包是本机的,还是要转发
如果是本机的就回过LOCAL_IN,LOCAL_OUT,再POST_ROUTING
如果是要直接转发的则要过FORWARD后,然后再POST_ROUTING

参考

http://blog.chinaunix.net/uid-23069658-id-3160506.html
http://blog.csdn.net/suiyuan19840208/article/details/19684883
https://zhuanlan.zhihu.com/p/21534942